स्टेजफ्राइट 2.0 के बारे में आपको क्या जानने की जरूरत है

पिछले कुछ महीनों में बहुत सारी अनिश्चितता से भरा हुआ है, स्टेजफ्राइट नाम के लोकप्रिय मुद्दे की एक श्रृंखला के आसपास, एक नाम कमाया क्योंकि पाया गया कि अधिकांश मुद्दों को एंड्रॉइड में libstagefright के साथ करना है। सिक्योरिटी फर्म Zimperium ने प्रकाशित किया है कि वे स्टेजफ्राइट 2.0 को क्या कह रहे हैं, एमपी और mp4 फ़ाइलों के आसपास दो नए मुद्दों के साथ जो आपके फोन पर दुर्भावनापूर्ण कोड को निष्पादित करने के लिए हेरफेर किया जा सकता है।

यहां हम जानते हैं कि अब तक क्या है, और अपने आप को कैसे सुरक्षित रखें।

स्टेजफ्राइट 2.0 क्या है?

ज़िमपेरियम के अनुसार, हाल ही में खोजी गई कमजोरियों की एक जोड़ी एक हमलावर के लिए एक एमपी 3 या MP4 जैसी दिखने वाली फ़ाइल के साथ एंड्रॉइड फोन या टैबलेट पेश करना संभव बनाती है, इसलिए जब उस फ़ाइल के मेटाडेटा का पूर्वावलोकन ओएस द्वारा किया जाता है, जो फ़ाइल निष्पादित कर सकती है गलत मंशा वाला कोड। मैन इन द मिडिल अटैक या विशेष रूप से इन विकृत फ़ाइलों को डिलीवर करने के लिए बनाई गई वेबसाइट की स्थिति में, इस कोड को कभी भी जाने बिना उपयोगकर्ता द्वारा निष्पादित किया जा सकता है।

Zimperium ने दूरस्थ निष्पादन की पुष्टि करने का दावा किया है, और इसे 15 अगस्त को Google के ध्यान में लाया गया। जवाब में, Google ने CVE-2015-3876 और CVE-2015-6602 को रिपोर्ट किए गए मुद्दों की जोड़ी को सौंपा और एक फिक्स पर काम करना शुरू कर दिया।

क्या मेरा फोन या टैबलेट प्रभावित है?

एक तरह से या दूसरे, हाँ। CVE-2015-6602 लिबूटिल्स में भेद्यता को संदर्भित करता है, और जैसा कि Zimperium अपनी पोस्ट में बताते हैं कि इस भेद्यता की खोज की घोषणा यह हर एंड्रॉइड फोन और टैबलेट को प्रभावित करती है जो एंड्रॉइड 1.0 के रूप में वापस जा रहा है। CVE-2015-3876 हर Android 5.0 और उच्च फ़ोन या टैबलेट को प्रभावित करता है, और सैद्धांतिक रूप से वेबसाइट या आदमी के माध्यम से मध्य हमले में वितरित किया जा सकता है।

हालाँकि।

वर्तमान में इस भेद्यता के कोई सार्वजनिक उदाहरण नहीं हैं, जिनका उपयोग कभी भी प्रयोगशाला स्थितियों के बाहर किसी भी चीज़ के दोहन के लिए किया गया हो, और ज़ीमपेरियम उन सबूत-ऑफ़-कॉन्सेप्ट शोषण को साझा करने की योजना नहीं बना रहा है जो वे इस मुद्दे को Google में प्रदर्शित करते थे। हालांकि यह संभव है कि कोई व्यक्ति Google द्वारा एक पैच जारी करने से पहले इस शोषण का पता लगा सके, इस शोषण के पीछे के विवरण को अभी भी निजी रखा जा रहा है, इसकी संभावना नहीं है।

Google इस बारे में क्या कर रहा है?

Google के एक बयान के अनुसार, अक्टूबर सुरक्षा अद्यतन इन दोनों कमजोरियों को संबोधित करता है। ये पैच AOSP में बनाए जाएंगे और 5 अक्टूबर से शुरू होने वाले Nexus उपयोगकर्ताओं को रोल आउट करेंगे। ईगल आईड रीडर ने नेक्सस 5 एक्स और नेक्सस 6 पी पर गौर किया हो सकता है कि हमने हाल ही में 5 अक्टूबर अपडेट को पहले से ही देखा था, इसलिए यदि आप उन फोन में से एक को प्री-ऑर्डर करते हैं तो आपका हार्डवेयर इन कमजोरियों के खिलाफ पैच हो जाएगा। पैच की अतिरिक्त जानकारी 5 अक्टूबर को Android सुरक्षा Google समूह में होगी।

गैर-नेक्सस फोन के लिए, Google ने 10 सितंबर को भागीदारों को अक्टूबर सुरक्षा अपडेट प्रदान किया, और जल्द से जल्द अपडेट देने के लिए ओईएम और कैरियर के साथ काम कर रहा है। यदि आप अंतिम स्टेजफ्राइट कारनामे में लगाए गए उपकरणों की सूची पर एक नज़र डालते हैं, तो आपको इस प्रक्रिया में एक हार्डवेयर की प्राथमिकता के रूप में माना जा रहा है।

जब तक मेरे फ़ोन या टेबलेट के लिए पैच नहीं आ जाता, मैं कैसे सुरक्षित रहूँ?

इस घटना में कि कोई वास्तव में स्टेजफ्राइट 2.0 के साथ घूम रहा है और एंड्रॉइड उपयोगकर्ताओं को संक्रमित करने की कोशिश कर रहा है, जो फिर से सार्वजनिक विवरणों की कमी के कारण अत्यधिक संभावना नहीं है, सुरक्षित रहने की कुंजी के लिए ध्यान देने के साथ सब कुछ करना है जहां आप ' फिर से ब्राउज़ करें और आप किससे जुड़े हैं।

जब भी संभव हो सार्वजनिक नेटवर्क से बचें, जब भी संभव हो दो-कारक प्रमाणीकरण पर भरोसा करें, और छायादार वेबसाइटों से जितना संभव हो उतना दूर रहें। ज्यादातर, सामान्य ज्ञान वेब सामान अपने आप को सुरक्षित रखने के लिए।

क्या यह दुनिया का अंत है?

थोड़ा सा भी नहीं। हालांकि सभी स्टेजफ्राइट भेद्यताएं वास्तव में गंभीर हैं और उन्हें इस तरह के रूप में व्यवहार करने की आवश्यकता है, इन मुद्दों को जल्द से जल्द संबोधित करने के लिए जिम्परियम और Google के बीच संचार शानदार है। Zimperium ने एंड्रॉइड के साथ समस्याओं पर ठीक से ध्यान दिया है, और Google ने ठीक करने के लिए कदम रखा है। एक आदर्श दुनिया में इन कमजोरियों का अस्तित्व नहीं होगा, लेकिन वे करते हैं और जल्दी से संबोधित किया जा रहा है। हम जिस स्थिति में हैं, उससे बहुत अधिक नहीं पूछ सकते।